Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

quel firewall facile ?

12 réponses
Avatar
mess-mate
Bonjour,
le firewall de mon routeur(debian) est le 'arno-iptables-firewall'
qui jusqu'=E0 pr=E9sent donnait pleine satisfaction.

Ayant maintenant install=E9 un dmz, celui-ci n'a pas l'air d'=EAtre =E0 l=
a
page ou c'est moi qui n'arrive pas =E0 le configurer =E0 ce niveau.

Quoi qu'il en soit j'adopterais volontiers pour un autre firewall
pas trop compliqu=E9 (disons facile) car il faut qu'il marche au plus
vite afin de remettre mes pages sur le net.
De pr=E9f=E9rence un firewall en mode console.
Que me conseillez-vous ?
cordialement
mess-mate =20
--=20

Patch griefs with proverbs.
-- William Shakespeare, "Much Ado About Nothing"

10 réponses

1 2
Avatar
Jean-Yves F. Barbier
Le mercredi 28 février 2007 17:57, mess-mate a écrit :
Bonjour,
le firewall de mon routeur(debian) est le 'arno-iptables-firewall'
qui jusqu'à présent donnait pleine satisfaction.

Ayant maintenant installé un dmz, celui-ci n'a pas l'air d'être à la
page ou c'est moi qui n'arrive pas à le configurer à ce niveau.

Quoi qu'il en soit j'adopterais volontiers pour un autre firewall
pas trop compliqué (disons facile) car il faut qu'il marche au plus
vite afin de remettre mes pages sur le net.
De préférence un firewall en mode console.
Que me conseillez-vous ?
cordialement
mess-mate



shorewall (pas mal de HOWTOs, même en fr sur le net)
Avatar
jeriop
--=-AeXvoTj2oDF7z49DqEfE
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: 8bit

Ceci marche bien chez moi
Tout est expliqué là :

http://lea-linux.org/pho/read/3/227949/228105/quote


#!/bin/sh
# firewall v1.0.1 Oct 13 09:48:57 PDT 2003 written by : Kernel

# this script is free software according to the GNU General Public
License (see [www.gnu.org])
# Start/stop/restart/status firewall:

firewall_start() {

echo "[Démarrage du firewall]"

############################### REGLES PAR DEFAUT
###########################

echo "[Initialisation de la table filter]"
iptables -F
iptables -X

echo "[Politique par défaut de la table filter]"

# On ignore tout ce qui entre ou transite par la passerelle
iptables -P INPUT DROP
iptables -P FORWARD DROP

# On accepte, ce qui sort
iptables -P OUTPUT ACCEPT

# Pour éviter les mauvaises suprises, on va autoriser l'accès à la
loopback :
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

############################### LOCAL-INTERNET
###########################

echo "[On autorise les clients à accéder à internet]"

#On créé une nouvelle chaîne, le nom est indifférent
# appelons-la "local-internet"
iptables -N local-internet

# On définit le profil de ceux qui appartiendront à "local-internet"
# "local-internet" concerne toutes les connections sauf celles venant
d'internet ( ! = non)
# En gros avec ça, vous rendez, vos serveurs inaccessibles depuis
internet.
# Pas de panique, certains serveurs seront autorisés explicitement dans
la suite.
iptables -A local-internet -m state --state NEW -i ! ppp0 -j ACCEPT

#Evidemment, une fois acceptées comme "local-internet", les connections
peuvent continuer
# et faire des petits image : content
iptables -A local-internet -m state --state ESTABLISHED,RELATED -j
ACCEPT

# On termine en indiquant que les connections appartenant à
"local-internet"
# accèdent à internet de manière transparente.
iptables -A INPUT -j local-internet
iptables -A FORWARD -j local-internet

############################### LES TABLES NAT ET MANGLE
#############################

echo "[Initialisation des tables nat et mangle]"

iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

#################################### LE MASQUERADING
########################################

# Commentez ces 2 lignes, si vous ne faîtes pas du masquerading (nat)
echo "[Mise en place du masquerading]"
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE

################################# ACTIVATION DE LA PASSERELLE
##################

echo "[Activation de la passerelle]"
echo 1 > /proc/sys/net/ipv4/ip_forward

################################# PAS DE SPOOFING
############################

echo "[Pas de spoofing]"
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ] ; then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $filtre
done
fi

########################## PAS DE SYNFLOOD ####################

echo "[Pas de synflood]"
if [ -e /proc/sys/net/ipv4/tcp_syncookies ] ; then
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
fi

################################## PAS DE PING
###############################

# commentez ces 6 lignes, si vous autorisez les pings sur votre
passerelle
echo "[Pas ping]"
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
if [ -e /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses ] ; then
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
fi

############# Priorisation de la bande passante et des connections - QoS
############
image : rireroll// ça, tu n'en auras pas forcément besoin (d'ailleurs,
ici c'est encore incomplet, la priorisation (QoS) ne fonctionne que pour
les données que j'envoie (upload) mais pas pour le download.)image :
rireroll

echo "[priorisation des connections ssh ...]";
iptables -A PREROUTING -t mangle -p tcp --sport 443 -j TOS --set-tos
Minimize-Delay

echo "[priorisation des connections http ...]";
iptables -A PREROUTING -t mangle -p tcp --sport http -j TOS --set-tos
Maximize-throughput
iptables -A PREROUTING -t mangle -p tcp --sport 3129 -j TOS --set-tos
Maximize-throughput

echo "[priorisation des connections Diablo 2 ...]";
iptables -A PREROUTING -t mangle -p tcp --sport 6112:6119 -j TOS
--set-tos Minimize-Delay
iptables -A PREROUTING -t mangle -p udp --sport 6112:6119 -j TOS
--set-tos Minimize-Delay
iptables -A PREROUTING -t mangle -p tcp --sport 4000 -j TOS --set-tos
Minimize-Delay
iptables -A PREROUTING -t mangle -p udp --sport 4000 -j TOS --set-tos
Minimize-Delay

# Maximum de débit à Diablo 2
iptables -A PREROUTING -t mangle -p tcp --sport 6112:6119 -j TOS
--set-tos Maximize-Throughput
iptables -A PREROUTING -t mangle -p udp --sport 6112:6119 -j TOS
--set-tos Maximize-Throughput
iptables -A PREROUTING -t mangle -p tcp --sport 4000 -j TOS --set-tos
Maximize-Throughput
iptables -A PREROUTING -t mangle -p udp --sport 4000 -j TOS --set-tos
Maximize-Throughput

############################ Fonctionnalités serveurs
#####################################

echo "[Etude des fonctionalités serveurs, visibles depuis internet]"

# A ce stade, tous vos clients du réseau local et de la passerelle ont
accès à internet. Mieux,
# vos clients du réseau local, ont accès à vos serveurs apache,
proftp ... localement. Mais personne
# depuis internet ne peux accéder à l'un des serveurs que vous
hébergez.

# Il est bien-sûr possible de dévérrouiller pontuellement l'accès à un
serveur depuis internet,
# en décommentant les 2 ou 3 lignes correspondantes.

#echo "[autorisation du serveur ssh(22) ...]"
#iptables -A INPUT -p tcp --dport ssh -j ACCEPT

#echo "[autorisation du serveur smtp(25) ...]"
#iptables -A INPUT -p tcp --dport smtp -j ACCEPT

echo "[autorisation du serveur http(80) ...]"
iptables -A INPUT -p tcp --dport www -j ACCEPT

echo "[autorisation du serveur https(443) ...]"
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

#echo "[autorisation du serveur DNS(53) ...]"
#iptables -A INPUT -p udp --dport domain -j ACCEPT
#iptables -A INPUT -p tcp --dport domain -j ACCEPT

#echo "[autorisation du serveur irc(6667) ...]"
#iptables -A INPUT -p tcp --dport ircd -j ACCEPT

#echo "[autorisation du serveur cvs (2401) ...]"
#iptables -A INPUT -p tcp --dport cvspserver -j ACCEPT

#echo "[autorisation du serveur FTP(21 et 20) ...]"
#iptables -A INPUT -p tcp --dport ftp -j ACCEPT
#iptables -A INPUT -p tcp --dport ftp-data -j ACCEPT

# Ne pas décommenter les 3 lignes qui suivent.
# Plus généralement :
#echo "[autorisation du serveur Mon_truc(10584) ...]"
#iptables -A INPUT -p tcp --dport 10584 -j ACCEPT

# Ports visibles depuis l'extérieur pour Freenet :
echo "[autorisation du serveur Freenet (23050/tcp) ...]"
iptables -A INPUT -p tcp --dport 23050 -j ACCEPT

echo "[autorisation du serveur aMule (4662/tcp) ...]"
iptables -A INPUT -p tcp --dport 4662 -j ACCEPT

echo "[autorisation du serveur BitTorrent (6881-6889/tcp) ...]"
iptables -A INPUT -p tcp --dport 6881:6889 -j ACCEPT

echo "[firewall activé !]"
}

firewall_stop() {


iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

echo " [firewall descativé!]"
}

firewall_restart() {
firewall_stop
sleep 2
firewall_start
}

case "$1" in
'start')
firewall_start
;;
'stop')
firewall_stop
;;
'restart')
firewall_restart
;;
'status')
iptables -L
iptables -t nat -L
iptables -t mangle -L
;;
*)
echo "Usage: firewall {start|stop|restart|status}"
esac


Le mercredi 28 février 2007 à 18:30 +0100, Jean-Yves F. Barbier a
écrit :

Le mercredi 28 février 2007 17:57, mess-mate a écrit :
> Bonjour,
> le firewall de mon routeur(debian) est le 'arno-iptables-firewall'
> qui jusqu'à présent donnait pleine satisfaction.
>
> Ayant maintenant installé un dmz, celui-ci n'a pas l'air d'être à la
> page ou c'est moi qui n'arrive pas à le configurer à ce niveau.
>
> Quoi qu'il en soit j'adopterais volontiers pour un autre firewall
> pas trop compliqué (disons facile) car il faut qu'il marche au plus
> vite afin de remettre mes pages sur le net.
> De préférence un firewall en mode console.
> Que me conseillez-vous ?
> cordialement
> mess-mate

shorewall (pas mal de HOWTOs, même en fr sur le net)





--=-AeXvoTj2oDF7z49DqEfE
Content-Type: text/html; charset=utf-8
Content-Transfer-Encoding: 7bit

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 TRANSITIONAL//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; CHARSET=UTF-8">
<META NAME="GENERATOR" CONTENT="GtkHTML/3.12.1">
</HEAD>
<BODY>
Ceci marche bien chez moi<BR>
Tout est expliqu&#233; l&#224; :<BR>
<BR>
<A HREF="http://lea-linux.org/pho/read/3/227949/228105/quote">http://lea-linux.org/pho/read/3/227949/228105/quote</A><BR>
<BR>
<BR>
#!/bin/sh <BR>
# firewall v1.0.1 Oct 13 09:48:57 PDT 2003 written by : Kernel &lt;<A HREF="mailto:"></A>&gt; <BR>
# this script is free software according to the GNU General Public License (see [<A HREF="http://www.gnu.org/licenses/gpl.html">www.gnu.org</A&gt;]) <BR>
# Start/stop/restart/status firewall: <BR>
<BR>
firewall_start() { <BR>
<BR>
echo &quot;[D&#233;marrage du firewall]&quot; <BR>
<BR>
############################### REGLES PAR DEFAUT ########################### <BR>
<BR>
echo &quot;[Initialisation de la table filter]&quot; <BR>
iptables -F <BR>
iptables -X <BR>
<BR>
echo &quot;[Politique par d&#233;faut de la table filter]&quot; <BR>
<BR>
# On ignore tout ce qui entre ou transite par la passerelle <BR>
iptables -P INPUT DROP <BR>
iptables -P FORWARD DROP <BR>
<BR>
# On accepte, ce qui sort <BR>
iptables -P OUTPUT ACCEPT <BR>
<BR>
# Pour &#233;viter les mauvaises suprises, on va autoriser l'acc&#232;s &#224; la loopback : <BR>
iptables -A INPUT -i lo -j ACCEPT <BR>
iptables -A OUTPUT -o lo -j ACCEPT <BR>
<BR>
############################### LOCAL-INTERNET ########################### <BR>
<BR>
echo &quot;[On autorise les clients &#224; acc&#233;der &#224; internet]&quot; <BR>
<BR>
#On cr&#233;&#233; une nouvelle cha&#238;ne, le nom est indiff&#233;rent <BR>
# appelons-la &quot;local-internet&quot; <BR>
iptables -N local-internet <BR>
<BR>
# On d&#233;finit le profil de ceux qui appartiendront &#224; &quot;local-internet&quot; <BR>
# &quot;local-internet&quot; concerne toutes les connections sauf celles venant d'internet ( ! = non) <BR>
# En gros avec &#231;a, vous rendez, vos serveurs inaccessibles depuis internet. <BR>
# Pas de panique, certains serveurs seront autoris&#233;s explicitement dans la suite. <BR>
iptables -A local-internet -m state --state NEW -i ! ppp0 -j ACCEPT <BR>
<BR>
#Evidemment, une fois accept&#233;es comme &quot;local-internet&quot;, les connections peuvent continuer <BR>
# et faire des petits <IMG SRC="http://lea-linux.org/pho/images/smiles/content.gif&quot; ALIGN="bottom" ALT="image : content" BORDER="0"><BR>
iptables -A local-internet -m state --state ESTABLISHED,RELATED -j ACCEPT <BR>
<BR>
# On termine en indiquant que les connections appartenant &#224; &quot;local-internet&quot; <BR>
# acc&#232;dent &#224; internet de mani&#232;re transparente. <BR>
iptables -A INPUT -j local-internet <BR>
iptables -A FORWARD -j local-internet <BR>
<BR>
############################### LES TABLES NAT ET MANGLE ############################# <BR>
<BR>
echo &quot;[Initialisation des tables nat et mangle]&quot; <BR>
<BR>
iptables -t nat -F <BR>
iptables -t nat -X <BR>
iptables -t nat -P PREROUTING ACCEPT <BR>
iptables -t nat -P POSTROUTING ACCEPT <BR>
iptables -t nat -P OUTPUT ACCEPT <BR>
<BR>
iptables -t mangle -F <BR>
iptables -t mangle -X <BR>
iptables -t mangle -P PREROUTING ACCEPT <BR>
iptables -t mangle -P OUTPUT ACCEPT <BR>
<BR>
#################################### LE MASQUERADING ######################################## <BR>
<BR>
# Commentez ces 2 lignes, si vous ne fa&#238;tes pas du masquerading (nat) <BR>
echo &quot;[Mise en place du masquerading]&quot; <BR>
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE <BR>
<BR>
################################# ACTIVATION DE LA PASSERELLE ################## <BR>
<BR>
echo &quot;[Activation de la passerelle]&quot; <BR>
echo 1 &gt; /proc/sys/net/ipv4/ip_forward <BR>
<BR>
################################# PAS DE SPOOFING ############################ <BR>
<BR>
echo &quot;[Pas de spoofing]&quot; <BR>
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ] ; then <BR>
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter <BR>
do <BR>
echo 1 &gt; $filtre <BR>
done <BR>
fi <BR>
<BR>
########################## PAS DE SYNFLOOD #################### <BR>
<BR>
echo &quot;[Pas de synflood]&quot; <BR>
if [ -e /proc/sys/net/ipv4/tcp_syncookies ] ; then <BR>
echo 1 &gt; /proc/sys/net/ipv4/tcp_syncookies <BR>
fi <BR>
<BR>
################################## PAS DE PING ############################### <BR>
<BR>
# commentez ces 6 lignes, si vous autorisez les pings sur votre passerelle <BR>
echo &quot;[Pas ping]&quot; <BR>
echo 1 &gt; /proc/sys/net/ipv4/icmp_echo_ignore_all <BR>
echo 1 &gt; /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts <BR>
if [ -e /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses ] ; then <BR>
echo 1 &gt; /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses <BR>
fi <BR>
<BR>
############# Priorisation de la bande passante et des connections - QoS ############ <BR>
<IMG SRC="http://lea-linux.org/pho/images/smiles/rireroll.gif&quot" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lea-linux.org/pho/images/smiles/rireroll.gif&quot; ALIGN="bottom" ALT="image : rireroll" BORDER="0">// &#231;a, tu n'en auras pas forc&#233;ment besoin (d'ailleurs, ici c'est encore incomplet, la priorisation (QoS) ne fonctionne que pour les donn&#233;es que j'envoie (upload) mais pas pour le download.)<IMG SRC="http://lea-linux.org/pho/images/smiles/rireroll.gif&quot" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lea-linux.org/pho/images/smiles/rireroll.gif&quot; ALIGN="bottom" ALT="image : rireroll" BORDER="0"><BR>
<BR>
echo &quot;[priorisation des connections ssh ...]&quot;; <BR>
iptables -A PREROUTING -t mangle -p tcp --sport 443 -j TOS --set-tos Minimize-Delay <BR>
<BR>
echo &quot;[priorisation des connections http ...]&quot;; <BR>
iptables -A PREROUTING -t mangle -p tcp --sport http -j TOS --set-tos Maximize-throughput <BR>
iptables -A PREROUTING -t mangle -p tcp --sport 3129 -j TOS --set-tos Maximize-throughput <BR>
<BR>
echo &quot;[priorisation des connections Diablo 2 ...]&quot;; <BR>
iptables -A PREROUTING -t mangle -p tcp --sport 6112:6119 -j TOS --set-tos Minimize-Delay <BR>
iptables -A PREROUTING -t mangle -p udp --sport 6112:6119 -j TOS --set-tos Minimize-Delay <BR>
iptables -A PREROUTING -t mangle -p tcp --sport 4000 -j TOS --set-tos Minimize-Delay <BR>
iptables -A PREROUTING -t mangle -p udp --sport 4000 -j TOS --set-tos Minimize-Delay <BR>
<BR>
# Maximum de d&#233;bit &#224; Diablo 2 <BR>
iptables -A PREROUTING -t mangle -p tcp --sport 6112:6119 -j TOS --set-tos Maximize-Throughput <BR>
iptables -A PREROUTING -t mangle -p udp --sport 6112:6119 -j TOS --set-tos Maximize-Throughput <BR>
iptables -A PREROUTING -t mangle -p tcp --sport 4000 -j TOS --set-tos Maximize-Throughput <BR>
iptables -A PREROUTING -t mangle -p udp --sport 4000 -j TOS --set-tos Maximize-Throughput <BR>
<BR>
############################ Fonctionnalit&#233;s serveurs ##################################### <BR>
<BR>
echo &quot;[Etude des fonctionalit&#233;s serveurs, visibles depuis internet]&quot; <BR>
<BR>
# A ce stade, tous vos clients du r&#233;seau local et de la passerelle ont acc&#232;s &#224; internet. Mieux, <BR>
# vos clients du r&#233;seau local, ont acc&#232;s &#224; vos serveurs apache, proftp ... localement. Mais personne <BR>
# depuis internet ne peux acc&#233;der &#224; l'un des serveurs que vous h&#233;bergez. <BR>
<BR>
# Il est bien-s&#251;r possible de d&#233;v&#233;rrouiller pontuellement l'acc&#232;s &#224; un serveur depuis internet, <BR>
# en d&#233;commentant les 2 ou 3 lignes correspondantes. <BR>
<BR>
#echo &quot;[autorisation du serveur ssh(22) ...]&quot; <BR>
#iptables -A INPUT -p tcp --dport ssh -j ACCEPT <BR>
<BR>
#echo &quot;[autorisation du serveur smtp(25) ...]&quot; <BR>
#iptables -A INPUT -p tcp --dport smtp -j ACCEPT <BR>
<BR>
echo &quot;[autorisation du serveur http(80) ...]&quot; <BR>
iptables -A INPUT -p tcp --dport www -j ACCEPT <BR>
<BR>
echo &quot;[autorisation du serveur https(443) ...]&quot; <BR>
iptables -A INPUT -p tcp --dport 443 -j ACCEPT <BR>
<BR>
#echo &quot;[autorisation du serveur DNS(53) ...]&quot; <BR>
#iptables -A INPUT -p udp --dport domain -j ACCEPT <BR>
#iptables -A INPUT -p tcp --dport domain -j ACCEPT <BR>
<BR>
#echo &quot;[autorisation du serveur irc(6667) ...]&quot; <BR>
#iptables -A INPUT -p tcp --dport ircd -j ACCEPT <BR>
<BR>
#echo &quot;[autorisation du serveur cvs (2401) ...]&quot; <BR>
#iptables -A INPUT -p tcp --dport cvspserver -j ACCEPT <BR>
<BR>
#echo &quot;[autorisation du serveur FTP(21 et 20) ...]&quot; <BR>
#iptables -A INPUT -p tcp --dport ftp -j ACCEPT <BR>
#iptables -A INPUT -p tcp --dport ftp-data -j ACCEPT <BR>
<BR>
# Ne pas d&#233;commenter les 3 lignes qui suivent. <BR>
# Plus g&#233;n&#233;ralement : <BR>
#echo &quot;[autorisation du serveur Mon_truc(10584) ...]&quot; <BR>
#iptables -A INPUT -p tcp --dport 10584 -j ACCEPT <BR>
<BR>
# Ports visibles depuis l'ext&#233;rieur pour Freenet : <BR>
echo &quot;[autorisation du serveur Freenet (23050/tcp) ...]&quot; <BR>
iptables -A INPUT -p tcp --dport 23050 -j ACCEPT <BR>
<BR>
echo &quot;[autorisation du serveur aMule (4662/tcp) ...]&quot; <BR>
iptables -A INPUT -p tcp --dport 4662 -j ACCEPT <BR>
<BR>
echo &quot;[autorisation du serveur BitTorrent (6881-6889/tcp) ...]&quot; <BR>
iptables -A INPUT -p tcp --dport 6881:6889 -j ACCEPT <BR>
<BR>
echo &quot;[firewall activ&#233; !]&quot; <BR>
} <BR>
<BR>
firewall_stop() { <BR>
<BR>
<BR>
iptables -F <BR>
iptables -X <BR>
iptables -P INPUT ACCEPT <BR>
iptables -P FORWARD ACCEPT <BR>
iptables -P OUTPUT ACCEPT <BR>
<BR>
iptables -t nat -F <BR>
iptables -t nat -X <BR>
iptables -t nat -P PREROUTING ACCEPT <BR>
iptables -t nat -P POSTROUTING ACCEPT <BR>
iptables -t nat -P OUTPUT ACCEPT <BR>
<BR>
iptables -t mangle -F <BR>
iptables -t mangle -X <BR>
iptables -t mangle -P PREROUTING ACCEPT <BR>
iptables -t mangle -P OUTPUT ACCEPT <BR>
<BR>
echo &quot; [firewall descativ&#233;!]&quot; <BR>
} <BR>
<BR>
firewall_restart() { <BR>
firewall_stop <BR>
sleep 2 <BR>
firewall_start <BR>
} <BR>
<BR>
case &quot;$1&quot; in <BR>
'start') <BR>
firewall_start <BR>
;; <BR>
'stop') <BR>
firewall_stop <BR>
;; <BR>
'restart') <BR>
firewall_restart <BR>
;; <BR>
'status') <BR>
iptables -L <BR>
iptables -t nat -L <BR>
iptables -t mangle -L <BR>
;; <BR>
*) <BR>
echo &quot;Usage: firewall {start|stop|restart|status}&quot; <BR>
esac
<BR>
<BR>
Le mercredi 28 f&#233;vrier 2007 &#224; 18:30 +0100, Jean-Yves F. Barbier a &#233;crit :
<BLOCKQUOTE TYPE=CITE>
<PRE>
<FONT COLOR="#000000">Le mercredi 28 f&#233;vrier 2007 17:57, mess-mate a &#233;crit&nbsp;:</FONT>
<FONT COLOR="#000000">&gt; Bonjour,</FONT>
<FONT COLOR="#000000">&gt; le firewall de mon routeur(debian) est le 'arno-iptables-firewall'</FONT>
<FONT COLOR="#000000">&gt; qui jusqu'&#224; pr&#233;sent donnait pleine satisfaction.</FONT>
<FONT COLOR="#000000">&gt;</FONT>
<FONT COLOR="#000000">&gt; Ayant maintenant install&#233; un dmz, celui-ci n'a pas l'air d'&#234;tre &#224; la</FONT>
<FONT COLOR="#000000">&gt; page ou c'est moi qui n'arrive pas &#224; le configurer &#224; ce niveau.</FONT>
<FONT COLOR="#000000">&gt;</FONT>
<FONT COLOR="#000000">&gt; Quoi qu'il en soit j'adopterais volontiers pour un autre firewall</FONT>
<FONT COLOR="#000000">&gt; pas trop compliqu&#233; (disons facile) car il faut qu'il marche au plus</FONT>
<FONT COLOR="#000000">&gt; vite afin de remettre mes pages sur le net.</FONT>
<FONT COLOR="#000000">&gt; De pr&#233;f&#233;rence un firewall en mode console.</FONT>
<FONT COLOR="#000000">&gt; Que me conseillez-vous ?</FONT>
<FONT COLOR="#000000">&gt; cordialement</FONT>
<FONT COLOR="#000000">&gt; mess-mate</FONT>

<FONT COLOR="#000000">shorewall (pas mal de HOWTOs, m&#234;me en fr sur le net)</FONT>


</PRE>
</BLOCKQUOTE>
</BODY>
</HTML>

--=-AeXvoTj2oDF7z49DqEfE--



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
jeriop
--=-xUtuxYO9fRf6hx0fRLRO
Content-Type: multipart/alternative; boundary="=-OLLDGqVoZf+aS8mGqMnH"


--=-OLLDGqVoZf+aS8mGqMnH
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: 8bit

Ne poussons pas pépère dans les orties
Le fichier que je t'ai mis en pièce jointe est à renommer et à copier
dans /etc/init.d
Ensuite faire pointer des liens symbolique dessus, à partir
de /etc/rc.xx selon ce que tu veux au démarrage.
Je peux te donner + de détails si nécessaire
L'article de Léa était à adapter, vu que la page concerne la Slackware
Ce script fonctionne parfaitement et je l'ai testé sur des sites de test
où ce firewall a obtenu la meilleure note.

Jer




Le mercredi 28 février 2007 à 19:57 +0100, jeriop a écrit :

Ceci marche bien chez moi
Tout est expliqué là :

http://lea-linux.org/pho/read/3/227949/228105/quote


#!/bin/sh
# firewall v1.0.1 Oct 13 09:48:57 PDT 2003 written by : Kernel

# this script is free software according to the GNU General Public
License (see [www.gnu.org])
# Start/stop/restart/status firewall:

firewall_start() {

echo "[Démarrage du firewall]"

############################### REGLES PAR DEFAUT
###########################

echo "[Initialisation de la table filter]"
iptables -F
iptables -X

echo "[Politique par défaut de la table filter]"

# On ignore tout ce qui entre ou transite par la passerelle
iptables -P INPUT DROP
iptables -P FORWARD DROP

# On accepte, ce qui sort
iptables -P OUTPUT ACCEPT

# Pour éviter les mauvaises suprises, on va autoriser l'accès à la
loopback :
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

############################### LOCAL-INTERNET
###########################

echo "[On autorise les clients à accéder à internet]"

#On créé une nouvelle chaîne, le nom est indifférent
# appelons-la "local-internet"
iptables -N local-internet

# On définit le profil de ceux qui appartiendront à "local-internet"
# "local-internet" concerne toutes les connections sauf celles venant
d'internet ( ! = non)
# En gros avec ça, vous rendez, vos serveurs inaccessibles depuis
internet.
# Pas de panique, certains serveurs seront autorisés explicitement
dans la suite.
iptables -A local-internet -m state --state NEW -i ! ppp0 -j ACCEPT

#Evidemment, une fois acceptées comme "local-internet", les
connections peuvent continuer
# et faire des petits image : content
iptables -A local-internet -m state --state ESTABLISHED,RELATED -j
ACCEPT

# On termine en indiquant que les connections appartenant à
"local-internet"
# accèdent à internet de manière transparente.
iptables -A INPUT -j local-internet
iptables -A FORWARD -j local-internet

############################### LES TABLES NAT ET MANGLE
#############################

echo "[Initialisation des tables nat et mangle]"

iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

#################################### LE MASQUERADING
########################################

# Commentez ces 2 lignes, si vous ne faîtes pas du masquerading (nat)
echo "[Mise en place du masquerading]"
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j
MASQUERADE

################################# ACTIVATION DE LA PASSERELLE
##################

echo "[Activation de la passerelle]"
echo 1 > /proc/sys/net/ipv4/ip_forward

################################# PAS DE SPOOFING
############################

echo "[Pas de spoofing]"
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ] ; then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $filtre
done
fi

########################## PAS DE SYNFLOOD ####################

echo "[Pas de synflood]"
if [ -e /proc/sys/net/ipv4/tcp_syncookies ] ; then
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
fi

################################## PAS DE PING
###############################

# commentez ces 6 lignes, si vous autorisez les pings sur votre
passerelle
echo "[Pas ping]"
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
if [ -e /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses ] ; then
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
fi

############# Priorisation de la bande passante et des connections -
QoS ############
image : rireroll// ça, tu n'en auras pas forcément besoin (d'ailleurs,
ici c'est encore incomplet, la priorisation (QoS) ne fonctionne que
pour les données que j'envoie (upload) mais pas pour le
download.)image : rireroll

echo "[priorisation des connections ssh ...]";
iptables -A PREROUTING -t mangle -p tcp --sport 443 -j TOS --set-tos
Minimize-Delay

echo "[priorisation des connections http ...]";
iptables -A PREROUTING -t mangle -p tcp --sport http -j TOS --set-tos
Maximize-throughput
iptables -A PREROUTING -t mangle -p tcp --sport 3129 -j TOS --set-tos
Maximize-throughput

echo "[priorisation des connections Diablo 2 ...]";
iptables -A PREROUTING -t mangle -p tcp --sport 6112:6119 -j TOS
--set-tos Minimize-Delay
iptables -A PREROUTING -t mangle -p udp --sport 6112:6119 -j TOS
--set-tos Minimize-Delay
iptables -A PREROUTING -t mangle -p tcp --sport 4000 -j TOS --set-tos
Minimize-Delay
iptables -A PREROUTING -t mangle -p udp --sport 4000 -j TOS --set-tos
Minimize-Delay

# Maximum de débit à Diablo 2
iptables -A PREROUTING -t mangle -p tcp --sport 6112:6119 -j TOS
--set-tos Maximize-Throughput
iptables -A PREROUTING -t mangle -p udp --sport 6112:6119 -j TOS
--set-tos Maximize-Throughput
iptables -A PREROUTING -t mangle -p tcp --sport 4000 -j TOS --set-tos
Maximize-Throughput
iptables -A PREROUTING -t mangle -p udp --sport 4000 -j TOS --set-tos
Maximize-Throughput

############################ Fonctionnalités serveurs
#####################################

echo "[Etude des fonctionalités serveurs, visibles depuis internet]"

# A ce stade, tous vos clients du réseau local et de la passerelle ont
accès à internet. Mieux,
# vos clients du réseau local, ont accès à vos serveurs apache,
proftp ... localement. Mais personne
# depuis internet ne peux accéder à l'un des serveurs que vous
hébergez.

# Il est bien-sûr possible de dévérrouiller pontuellement l'accès à un
serveur depuis internet,
# en décommentant les 2 ou 3 lignes correspondantes.

#echo "[autorisation du serveur ssh(22) ...]"
#iptables -A INPUT -p tcp --dport ssh -j ACCEPT

#echo "[autorisation du serveur smtp(25) ...]"
#iptables -A INPUT -p tcp --dport smtp -j ACCEPT

echo "[autorisation du serveur http(80) ...]"
iptables -A INPUT -p tcp --dport www -j ACCEPT

echo "[autorisation du serveur https(443) ...]"
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

#echo "[autorisation du serveur DNS(53) ...]"
#iptables -A INPUT -p udp --dport domain -j ACCEPT
#iptables -A INPUT -p tcp --dport domain -j ACCEPT

#echo "[autorisation du serveur irc(6667) ...]"
#iptables -A INPUT -p tcp --dport ircd -j ACCEPT

#echo "[autorisation du serveur cvs (2401) ...]"
#iptables -A INPUT -p tcp --dport cvspserver -j ACCEPT

#echo "[autorisation du serveur FTP(21 et 20) ...]"
#iptables -A INPUT -p tcp --dport ftp -j ACCEPT
#iptables -A INPUT -p tcp --dport ftp-data -j ACCEPT

# Ne pas décommenter les 3 lignes qui suivent.
# Plus généralement :
#echo "[autorisation du serveur Mon_truc(10584) ...]"
#iptables -A INPUT -p tcp --dport 10584 -j ACCEPT

# Ports visibles depuis l'extérieur pour Freenet :
echo "[autorisation du serveur Freenet (23050/tcp) ...]"
iptables -A INPUT -p tcp --dport 23050 -j ACCEPT

echo "[autorisation du serveur aMule (4662/tcp) ...]"
iptables -A INPUT -p tcp --dport 4662 -j ACCEPT

echo "[autorisation du serveur BitTorrent (6881-6889/tcp) ...]"
iptables -A INPUT -p tcp --dport 6881:6889 -j ACCEPT

echo "[firewall activé !]"
}

firewall_stop() {


iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

echo " [firewall descativé!]"
}

firewall_restart() {
firewall_stop
sleep 2
firewall_start
}

case "$1" in
'start')
firewall_start
;;
'stop')
firewall_stop
;;
'restart')
firewall_restart
;;
'status')
iptables -L
iptables -t nat -L
iptables -t mangle -L
;;
*)
echo "Usage: firewall {start|stop|restart|status}"
esac

Le mercredi 28 février 2007 à 18:30 +0100, Jean-Yves F. Barbier a
écrit :

> Le mercredi 28 février 2007 17:57, mess-mate a écrit :
> > Bonjour,
> > le firewall de mon routeur(debian) est le 'arno-iptables-firewall'
> > qui jusqu'à présent donnait pleine satisfaction.
> >
> > Ayant maintenant installé un dmz, celui-ci n'a pas l'air d'être à la
> > page ou c'est moi qui n'arrive pas à le configurer à ce niveau.
> >
> > Quoi qu'il en soit j'adopterais volontiers pour un autre firewall
> > pas trop compliqué (disons facile) car il faut qu'il marche au plus
> > vite afin de remettre mes pages sur le net.
> > De préférence un firewall en mode console.
> > Que me conseillez-vous ?
> > cordialement
> > mess-mate
>
> shorewall (pas mal de HOWTOs, même en fr sur le net)
>
>



--=-OLLDGqVoZf+aS8mGqMnH
Content-Type: text/html; charset=utf-8
Content-Transfer-Encoding: 7bit

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 TRANSITIONAL//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; CHARSET=UTF-8">
<META NAME="GENERATOR" CONTENT="GtkHTML/3.12.1">
</HEAD>
<BODY>
Ne poussons pas p&#233;p&#232;re dans les orties<BR>
Le fichier que je t'ai mis en pi&#232;ce jointe est &#224; renommer et &#224; copier dans /etc/init.d<BR>
Ensuite faire pointer des liens symbolique dessus, &#224; partir de /etc/rc.xx selon ce que&nbsp; tu veux au d&#233;marrage.<BR>
Je peux te donner + de d&#233;tails si n&#233;cessaire<BR>
L'article de L&#233;a &#233;tait &#224; adapter, vu que la page concerne la Slackware<BR>
Ce script fonctionne parfaitement et je l'ai test&#233; sur des sites de test o&#249; ce firewall a obtenu la meilleure note.<BR>
<BR>
Jer<BR>
<BR>
<BR>
<BR>
<BR>
Le mercredi 28 f&#233;vrier 2007 &#224; 19:57 +0100, jeriop a &#233;crit :<BR>
<BLOCKQUOTE TYPE=CITE>
<FONT COLOR="#000000">Ceci marche bien chez moi</FONT><BR>
<FONT COLOR="#000000">Tout est expliqu&#233; l&#224; :</FONT><BR>
<BR>
<FONT COLOR="#000000"><A HREF="http://lea-linux.org/pho/read/3/227949/228105/quote">http://lea-linux.org/pho/read/3/227949/228105/quote</A></FONT><BR>
<BR>
<BR>
<FONT COLOR="#000000">#!/bin/sh </FONT><BR>
<FONT COLOR="#000000"># firewall v1.0.1 Oct 13 09:48:57 PDT 2003 written by : Kernel &lt;<A HREF="mailto:"></A>&gt; </FONT><BR>
<FONT COLOR="#000000"># this script is free software according to the GNU General Public License (see [<A HREF="http://www.gnu.org/licenses/gpl.html">www.gnu.org</A&gt;]) </FONT><BR>
<FONT COLOR="#000000"># Start/stop/restart/status firewall: </FONT><BR>
<BR>
<FONT COLOR="#000000">firewall_start() { </FONT><BR>
<BR>
<FONT COLOR="#000000">echo &quot;[D&#233;marrage du firewall]&quot; </FONT><BR>
<BR>
<FONT COLOR="#000000">############################### REGLES PAR DEFAUT ########################### </FONT><BR>
<BR>
<FONT COLOR="#000000">echo &quot;[Initialisation de la table filter]&quot; </FONT><BR>
<FONT COLOR="#000000">iptables -F </FONT><BR>
<FONT COLOR="#000000">iptables -X </FONT><BR>
<BR>
<FONT COLOR="#000000">echo &quot;[Politique par d&#233;faut de la table filter]&quot; </FONT><BR>
<BR>
<FONT COLOR="#000000"># On ignore tout ce qui entre ou transite par la passerelle </FONT><BR>
<FONT COLOR="#000000">iptables -P INPUT DROP </FONT><BR>
<FONT COLOR="#000000">iptables -P FORWARD DROP </FONT><BR>
<BR>
<FONT COLOR="#000000"># On accepte, ce qui sort </FONT><BR>
<FONT COLOR="#000000">iptables -P OUTPUT ACCEPT </FONT><BR>
<BR>
<FONT COLOR="#000000"># Pour &#233;viter les mauvaises suprises, on va autoriser l'acc&#232;s &#224; la loopback : </FONT><BR>
<FONT COLOR="#000000">iptables -A INPUT -i lo -j ACCEPT </FONT><BR>
<FONT COLOR="#000000">iptables -A OUTPUT -o lo -j ACCEPT </FONT><BR>
<BR>
<FONT COLOR="#000000">############################### LOCAL-INTERNET ########################### </FONT><BR>
<BR>
<FONT COLOR="#000000">echo &quot;[On autorise les clients &#224; acc&#233;der &#224; internet]&quot; </FONT><BR>
<BR>
<FONT COLOR="#000000">#On cr&#233;&#233; une nouvelle cha&#238;ne, le nom est indiff&#233;rent </FONT><BR>
<FONT COLOR="#000000"># appelons-la &quot;local-internet&quot; </FONT><BR>
<FONT COLOR="#000000">iptables -N local-internet </FONT><BR>
<BR>
<FONT COLOR="#000000"># On d&#233;finit le profil de ceux qui appartiendront &#224; &quot;local-internet&quot; </FONT><BR>
<FONT COLOR="#000000"># &quot;local-internet&quot; concerne toutes les connections sauf celles venant d'internet ( ! = non) </FONT><BR>
<FONT COLOR="#000000"># En gros avec &#231;a, vous rendez, vos serveurs inaccessibles depuis internet. </FONT><BR>
<FONT COLOR="#000000"># Pas de panique, certains serveurs seront autoris&#233;s explicitement dans la suite. </FONT><BR>
<FONT COLOR="#000000">iptables -A local-internet -m state --state NEW -i ! ppp0 -j ACCEPT </FONT><BR>
<BR>
<FONT COLOR="#000000">#Evidemment, une fois accept&#233;es comme &quot;local-internet&quot;, les connections peuvent continuer </FONT><BR>
<FONT COLOR="#000000"># et faire des petits </FONT><IMG SRC="http://lea-linux.org/pho/images/smiles/content.gif&quot; ALIGN="bottom" ALT="image : content" BORDER="0"><BR>
<FONT COLOR="#000000">iptables -A local-internet -m state --state ESTABLISHED,RELATED -j ACCEPT </FONT><BR>
<BR>
<FONT COLOR="#000000"># On termine en indiquant que les connections appartenant &#224; &quot;local-internet&quot; </FONT><BR>
<FONT COLOR="#000000"># acc&#232;dent &#224; internet de mani&#232;re transparente. </FONT><BR>
<FONT COLOR="#000000">iptables -A INPUT -j local-internet </FONT><BR>
<FONT COLOR="#000000">iptables -A FORWARD -j local-internet </FONT><BR>
<BR>
<FONT COLOR="#000000">############################### LES TABLES NAT ET MANGLE ############################# </FONT><BR>
<BR>
<FONT COLOR="#000000">echo &quot;[Initialisation des tables nat et mangle]&quot; </FONT><BR>
<BR>
<FONT COLOR="#000000">iptables -t nat -F </FONT><BR>
<FONT COLOR="#000000">iptables -t nat -X </FONT><BR>
<FONT COLOR="#000000">iptables -t nat -P PREROUTING ACCEPT </FONT><BR>
<FONT COLOR="#000000">iptables -t nat -P POSTROUTING ACCEPT </FONT><BR>
<FONT COLOR="#000000">iptables -t nat -P OUTPUT ACCEPT </FONT><BR>
<BR>
<FONT COLOR="#000000">iptables -t mangle -F </FONT><BR>
<FONT COLOR="#000000">iptables -t mangle -X </FONT><BR>
<FONT COLOR="#000000">iptables -t mangle -P PREROUTING ACCEPT </FONT><BR>
<FONT COLOR="#000000">iptables -t mangle -P OUTPUT ACCEPT </FONT><BR>
<BR>
<FONT COLOR="#000000">#################################### LE MASQUERADING ######################################## </FONT><BR>
<BR>
<FONT COLOR="#000000"># Commentez ces 2 lignes, si vous ne fa&#238;tes pas du masquerading (nat) </FONT><BR>
<FONT COLOR="#000000">echo &quot;[Mise en place du masquerading]&quot; </FONT><BR>
<FONT COLOR="#000000">iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE </FONT><BR>
<BR>
<FONT COLOR="#000000">################################# ACTIVATION DE LA PASSERELLE ################## </FONT><BR>
<BR>
<FONT COLOR="#000000">echo &quot;[Activation de la passerelle]&quot; </FONT><BR>
<FONT COLOR="#000000">echo 1 &gt; /proc/sys/net/ipv4/ip_forward </FONT><BR>
<BR>
<FONT COLOR="#000000">################################# PAS DE SPOOFING ############################ </FONT><BR>
<BR>
<FONT COLOR="#000000">echo &quot;[Pas de spoofing]&quot; </FONT><BR>
<FONT COLOR="#000000">if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ] ; then </FONT><BR>
<FONT COLOR="#000000">for filtre in /proc/sys/net/ipv4/conf/*/rp_filter </FONT><BR>
<FONT COLOR="#000000">do </FONT><BR>
<FONT COLOR="#000000">echo 1 &gt; $filtre </FONT><BR>
<FONT COLOR="#000000">done </FONT><BR>
<FONT COLOR="#000000">fi </FONT><BR>
<BR>
<FONT COLOR="#000000">########################## PAS DE SYNFLOOD #################### </FONT><BR>
<BR>
<FONT COLOR="#000000">echo &quot;[Pas de synflood]&quot; </FONT><BR>
<FONT COLOR="#000000">if [ -e /proc/sys/net/ipv4/tcp_syncookies ] ; then </FONT><BR>
<FONT COLOR="#000000">echo 1 &gt; /proc/sys/net/ipv4/tcp_syncookies </FONT><BR>
<FONT COLOR="#000000">fi </FONT><BR>
<BR>
<FONT COLOR="#000000">################################## PAS DE PING ############################### </FONT><BR>
<BR>
<FONT COLOR="#000000"># commentez ces 6 lignes, si vous autorisez les pings sur votre passerelle </FONT><BR>
<FONT COLOR="#000000">echo &quot;[Pas ping]&quot; </FONT><BR>
<FONT COLOR="#000000">echo 1 &gt; /proc/sys/net/ipv4/icmp_echo_ignore_all </FONT><BR>
<FONT COLOR="#000000">echo 1 &gt; /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts </FONT><BR>
<FONT COLOR="#000000">if [ -e /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses ] ; then </FONT><BR>
<FONT COLOR="#000000">echo 1 &gt; /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses </FONT><BR>
<FONT COLOR="#000000">fi </FONT><BR>
<BR>
<FONT COLOR="#000000">############# Priorisation de la bande passante et des connections - QoS ############ </FONT><BR>
<IMG SRC="http://lea-linux.org/pho/images/smiles/rireroll.gif&quot" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lea-linux.org/pho/images/smiles/rireroll.gif&quot; ALIGN="bottom" ALT="image : rireroll" BORDER="0"><FONT COLOR="#000000">// &#231;a, tu n'en auras pas forc&#233;ment besoin (d'ailleurs, ici c'est encore incomplet, la priorisation (QoS) ne fonctionne que pour les donn&#233;es que j'envoie (upload) mais pas pour le download.)</FONT><IMG SRC="http://lea-linux.org/pho/images/smiles/rireroll.gif&quot" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://lea-linux.org/pho/images/smiles/rireroll.gif&quot; ALIGN="bottom" ALT="image : rireroll" BORDER="0"><BR>
<BR>
<FONT COLOR="#000000">echo &quot;[priorisation des connections ssh ...]&quot;; </FONT><BR>
<FONT COLOR="#000000">iptables -A PREROUTING -t mangle -p tcp --sport 443 -j TOS --set-tos Minimize-Delay </FONT><BR>
<BR>
<FONT COLOR="#000000">echo &quot;[priorisation des connections http ...]&quot;; </FONT><BR>
<FONT COLOR="#000000">iptables -A PREROUTING -t mangle -p tcp --sport http -j TOS --set-tos Maximize-throughput </FONT><BR>
<FONT COLOR="#000000">iptables -A PREROUTING -t mangle -p tcp --sport 3129 -j TOS --set-tos Maximize-throughput </FONT><BR>
<BR>
<FONT COLOR="#000000">echo &quot;[priorisation des connections Diablo 2 ...]&quot;; </FONT><BR>
<FONT COLOR="#000000">iptables -A PREROUTING -t mangle -p tcp --sport 6112:6119 -j TOS --set-tos Minimize-Delay </FONT><BR>
<FONT COLOR="#000000">iptables -A PREROUTING -t mangle -p udp --sport 6112:6119 -j TOS --set-tos Minimize-Delay </FONT><BR>
<FONT COLOR="#000000">iptables -A PREROUTING -t mangle -p tcp --sport 4000 -j TOS --set-tos Minimize-Delay </FONT><BR>
<FONT COLOR="#000000">iptables -A PREROUTING -t mangle -p udp --sport 4000 -j TOS --set-tos Minimize-Delay </FONT><BR>
<BR>
<FONT COLOR="#000000"># Maximum de d&#233;bit &#224; Diablo 2 </FONT><BR>
<FONT COLOR="#000000">iptables -A PREROUTING -t mangle -p tcp --sport 6112:6119 -j TOS --set-tos Maximize-Throughput </FONT><BR>
<FONT COLOR="#000000">iptables -A PREROUTING -t mangle -p udp --sport 6112:6119 -j TOS --set-tos Maximize-Throughput </FONT><BR>
<FONT COLOR="#000000">iptables -A PREROUTING -t mangle -p tcp --sport 4000 -j TOS --set-tos Maximize-Throughput </FONT><BR>
<FONT COLOR="#000000">iptables -A PREROUTING -t mangle -p udp --sport 4000 -j TOS --set-tos Maximize-Throughput </FONT><BR>
<BR>
<FONT COLOR="#000000">############################ Fonctionnalit&#233;s serveurs ##################################### </FONT><BR>
<BR>
<FONT COLOR="#000000">echo &quot;[Etude des fonctionalit&#233;s serveurs, visibles depuis internet]&quot; </FONT><BR>
<BR>
<FONT COLOR="#000000"># A ce stade, tous vos clients du r&#233;seau local et de la passerelle ont acc&#232;s &#224; internet. Mieux, </FONT><BR>
<FONT COLOR="#000000"># vos clients du r&#233;seau local, ont acc&#232;s &#224; vos serveurs apache, proftp ... localement. Mais personne </FONT><BR>
<FONT COLOR="#000000"># depuis internet ne peux acc&#233;der &#224; l'un des serveurs que vous h&#233;bergez. </FONT><BR>
<BR>
<FONT COLOR="#000000"># Il est bien-s&#251;r possible de d&#233;v&#233;rrouiller pontuellement l'acc&#232;s &#224; un serveur depuis internet, </FONT><BR>
<FONT COLOR="#000000"># en d&#233;commentant les 2 ou 3 lignes correspondantes. </FONT><BR>
<BR>
<FONT COLOR="#000000">#echo &quot;[autorisation du serveur ssh(22) ...]&quot; </FONT><BR>
<FONT COLOR="#000000">#iptables -A INPUT -p tcp --dport ssh -j ACCEPT </FONT><BR>
<BR>
<FONT COLOR="#000000">#echo &quot;[autorisation du serveur smtp(25) ...]&quot; </FONT><BR>
<FONT COLOR="#000000">#iptables -A INPUT -p tcp --dport smtp -j ACCEPT </FONT><BR>
<BR>
<FONT COLOR="#000000">echo &quot;[autorisation du serveur http(80) ...]&quot; </FONT><BR>
<FONT COLOR="#000000">iptables -A INPUT -p tcp --dport www -j ACCEPT </FONT><BR>
<BR>
<FONT COLOR="#000000">echo &quot;[autorisation du serveur https(443) ...]&quot; </FONT><BR>
<FONT COLOR="#000000">iptables -A INPUT -p tcp --dport 443 -j ACCEPT </FONT><BR>
<BR>
<FONT COLOR="#000000">#echo &quot;[autorisation du serveur DNS(53) ...]&quot; </FONT><BR>
<FONT COLOR="#000000">#iptables -A INPUT -p udp --dport domain -j ACCEPT </FONT><BR>
<FONT COLOR="#000000">#iptables -A INPUT -p tcp --dport domain -j ACCEPT </FONT><BR>
<BR>
<FONT COLOR="#000000">#echo &quot;[autorisation du serveur irc(6667) ...]&quot; </FONT><BR>
<FONT COLOR="#000000">#iptables -A INPUT -p tcp --dport ircd -j ACCEPT </FONT><BR>
<BR>
<FONT COLOR="#000000">#echo &quot;[autorisation du serveur cvs (2401) ...]&quot; </FONT><BR>
<FONT COLOR="#000000">#iptables -A INPUT -p tcp --dport cvspserver -j ACCEPT </FONT><BR>
<BR>
<FONT COLOR="#000000">#echo &quot;[autorisation du serveur FTP(21 et 20) ...]&quot; </FONT><BR>
<FONT COLOR="#000000">#iptables -A INPUT -p tcp --dport ftp -j ACCEPT </FONT><BR>
<FONT COLOR="#000000">#iptables -A INPUT -p tcp --dport ftp-data -j ACCEPT </FONT><BR>
<BR>
<FONT COLOR="#000000"># Ne pas d&#233;commenter les 3 lignes qui suivent. </FONT><BR>
<FONT COLOR="#000000"># Plus g&#233;n&#233;ralement : </FONT><BR>
<FONT COLOR="#000000">#echo &quot;[autorisation du serveur Mon_truc(10584) ...]&quot; </FONT><BR>
<FONT COLOR="#000000">#iptables -A INPUT -p tcp --dport 10584 -j ACCEPT </FONT><BR>
<BR>
<FONT COLOR="#000000"># Ports visibles depuis l'ext&#233;rieur pour Freenet : </FONT><BR>
<FONT COLOR="#000000">echo &quot;[autorisation du serveur Freenet (23050/tcp) ...]&quot; </FONT><BR>
<FONT COLOR="#000000">iptables -A INPUT -p tcp --dport 23050 -j ACCEPT </FONT><BR>
<BR>
<FONT COLOR="#000000">echo &quot;[autorisation du serveur aMule (4662/tcp) ...]&quot; </FONT><BR>
<FONT COLOR="#000000">iptables -A INPUT -p tcp --dport 4662 -j ACCEPT </FONT><BR>
<BR>
<FONT COLOR="#000000">echo &quot;[autorisation du serveur BitTorrent (6881-6889/tcp) ...]&quot; </FONT><BR>
<FONT COLOR="#000000">iptables -A INPUT -p tcp --dport 6881:6889 -j ACCEPT </FONT><BR>
<BR>
<FONT COLOR="#000000">echo &quot;[firewall activ&#233; !]&quot; </FONT><BR>
<FONT COLOR="#000000">} </FONT><BR>
<BR>
<FONT COLOR="#000000">firewall_stop() { </FONT><BR>
<BR>
<BR>
<FONT COLOR="#000000">iptables -F </FONT><BR>
<FONT COLOR="#000000">iptables -X </FONT><BR>
<FONT COLOR="#000000">iptables -P INPUT ACCEPT </FONT><BR>
<FONT COLOR="#000000">iptables -P FORWARD ACCEPT </FONT><BR>
<FONT COLOR="#000000">iptables -P OUTPUT ACCEPT </FONT><BR>
<BR>
<FONT COLOR="#000000">iptables -t nat -F </FONT><BR>
<FONT COLOR="#000000">iptables -t nat -X </FONT><BR>
<FONT COLOR="#000000">iptables -t nat -P PREROUTING ACCEPT </FONT><BR>
<FONT COLOR="#000000">iptables -t nat -P POSTROUTING ACCEPT </FONT><BR>
<FONT COLOR="#000000">iptables -t nat -P OUTPUT ACCEPT </FONT><BR>
<BR>
<FONT COLOR="#000000">iptables -t mangle -F </FONT><BR>
<FONT COLOR="#000000">iptables -t mangle -X </FONT><BR>
<FONT COLOR="#000000">iptables -t mangle -P PREROUTING ACCEPT </FONT><BR>
<FONT COLOR="#000000">iptables -t mangle -P OUTPUT ACCEPT </FONT><BR>
<BR>
<FONT COLOR="#000000">echo &quot; [firewall descativ&#233;!]&quot; </FONT><BR>
<FONT COLOR="#000000">} </FONT><BR>
<BR>
<FONT COLOR="#000000">firewall_restart() { </FONT><BR>
<FONT COLOR="#000000">firewall_stop </FONT><BR>
<FONT COLOR="#000000">sleep 2 </FONT><BR>
<FONT COLOR="#000000">firewall_start </FONT><BR>
<FONT COLOR="#000000">} </FONT><BR>
<BR>
<FONT COLOR="#000000">case &quot;$1&quot; in </FONT><BR>
<FONT COLOR="#000000">'start') </FONT><BR>
<FONT COLOR="#000000">firewall_start </FONT><BR>
<FONT COLOR="#000000">;; </FONT><BR>
<FONT COLOR="#000000">'stop') </FONT><BR>
<FONT COLOR="#000000">firewall_stop </FONT><BR>
<FONT COLOR="#000000">;; </FONT><BR>
<FONT COLOR="#000000">'restart') </FONT><BR>
<FONT COLOR="#000000">firewall_restart </FONT><BR>
<FONT COLOR="#000000">;; </FONT><BR>
<FONT COLOR="#000000">'status') </FONT><BR>
<FONT COLOR="#000000">iptables -L </FONT><BR>
<FONT COLOR="#000000">iptables -t nat -L </FONT><BR>
<FONT COLOR="#000000">iptables -t mangle -L </FONT><BR>
<FONT COLOR="#000000">;; </FONT><BR>
<FONT COLOR="#000000">*) </FONT><BR>
<FONT COLOR="#000000">echo &quot;Usage: firewall {start|stop|restart|status}&quot; </FONT><BR>
<FONT COLOR="#000000">esac </FONT><BR>
<BR>
<FONT COLOR="#000000">Le mercredi 28 f&#233;vrier 2007 &#224; 18:30 +0100, Jean-Yves F. Barbier a &#233;crit : </FONT>
<BLOCKQUOTE TYPE=CITE>
<PRE>
<FONT COLOR="#000000">Le mercredi 28 f&#233;vrier 2007 17:57, mess-mate a &#233;crit&nbsp;:</FONT>
<FONT COLOR="#000000">&gt; Bonjour,</FONT>
<FONT COLOR="#000000">&gt; le firewall de mon routeur(debian) est le 'arno-iptables-firewall'</FONT>
<FONT COLOR="#000000">&gt; qui jusqu'&#224; pr&#233;sent donnait pleine satisfaction.</FONT>
<FONT COLOR="#000000">&gt;</FONT>
<FONT COLOR="#000000">&gt; Ayant maintenant install&#233; un dmz, celui-ci n'a pas l'air d'&#234;tre &#224; la</FONT>
<FONT COLOR="#000000">&gt; page ou c'est moi qui n'arrive pas &#224; le configurer &#224; ce niveau.</FONT>
<FONT COLOR="#000000">&gt;</FONT>
<FONT COLOR="#000000">&gt; Quoi qu'il en soit j'adopterais volontiers pour un autre firewall</FONT>
<FONT COLOR="#000000">&gt; pas trop compliqu&#233; (disons facile) car il faut qu'il marche au plus</FONT>
<FONT COLOR="#000000">&gt; vite afin de remettre mes pages sur le net.</FONT>
<FONT COLOR="#000000">&gt; De pr&#233;f&#233;rence un firewall en mode console.</FONT>
<FONT COLOR="#000000">&gt; Que me conseillez-vous ?</FONT>
<FONT COLOR="#000000">&gt; cordialement</FONT>
<FONT COLOR="#000000">&gt; mess-mate</FONT>

<FONT COLOR="#000000">shorewall (pas mal de HOWTOs, m&#234;me en fr sur le net)</FONT>


</PRE>
</BLOCKQUOTE>
</BLOCKQUOTE>
</BODY>
</HTML>

--=-OLLDGqVoZf+aS8mGqMnH--

--=-xUtuxYO9fRf6hx0fRLRO
Content-Disposition: attachment; filename=firewall_lea.txt
Content-Type: application/x-shellscript; name=firewall_lea.txt
Content-Transfer-Encoding: 8bit

#!/bin/sh
# firewall v1.0.1 Oct 13 09:48:57 PDT 2003 written by : Kernel
# Modifié par merlin8282 (je ne sais plus où j'ai pioché l'original mais il y ressemble encore vraiment beaucoup).
# this script is free software according to the GNU General Public License (see [www.gnu.org])
# Start/stop/restart/status firewall:

firewall_start() {

echo "[Démarrage du firewall]"

############################### REGLES PAR DEFAUT ###########################

echo "[Initialisation de la table filter]"
iptables -F
iptables -X

echo "[Politique par défaut de la table filter]"

# On ignore tout ce qui entre ou transite par la passerelle
iptables -P INPUT DROP
iptables -P FORWARD DROP

# On accepte, ce qui sort
iptables -P OUTPUT ACCEPT

# Pour éviter les mauvaises suprises, on va autoriser l'accès à la loopback :
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

############################### LOCAL-INTERNET ###########################

echo "[On autorise les clients à accéder à internet]"

#On créé une nouvelle chaîne, le nom est indifférent
# appelons-la "local-internet"
iptables -N local-internet

# On définit le profil de ceux qui appartiendront à "local-internet"
# "local-internet" concerne toutes les connections sauf celles venant d'internet ( ! = non)
# En gros avec ça, vous rendez, vos serveurs inaccessibles depuis internet.
# Pas de panique, certains serveurs seront autorisés explicitement dans la suite.
# (Remplacer ppp0 en fonction de votre configuration)
iptables -A local-internet -m state --state NEW -i ! ppp0 -j ACCEPT

#Evidemment, une fois acceptées comme "local-internet", les connections peuvent continuer
# et faire des petits :
iptables -A local-internet -m state --state ESTABLISHED,RELATED -j ACCEPT

# On termine en indiquant que les connections appartenant à "local-internet"
# accèdent à internet de manière transparente.
iptables -A INPUT -j local-internet
iptables -A FORWARD -j local-internet

############################### LES TABLES NAT ET MANGLE #############################

echo "[Initialisation des tables nat et mangle]"

iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

############################### LE MASQUERADING #########################

# Commentez ces 2 lignes, si vous ne faîtes pas du masquerading (nat)
#echo "[Mise en place du masquerading]"
#iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE

########################### ACTIVATION DE LA PASSERELLE ##################

#echo "[Activation de la passerelle]"
#echo 1 > /proc/sys/net/ipv4/ip_forward

############################## PAS DE SPOOFING ##########################

echo "[Pas de spoofing]"
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ] ; then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $filtre
done
fi

########################## PAS DE SYNFLOOD ####################

echo "[Pas de synflood]"
if [ -e /proc/sys/net/ipv4/tcp_syncookies ] ; then
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
fi

############################### PAS DE PING ############################

# commentez ces 6 lignes, si vous autorisez les pings sur votre passerelle
echo "[Pas ping]"
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
if [ -e /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses ] ; then
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
fi

############# Priorisation de la bande passante et des connections - QoS ############

echo "[priorisation des connections ssh ...]";
iptables -A PREROUTING -t mangle -p tcp --sport 443 -j TOS --set-tos Minimize-Delay

echo "[priorisation des connections http ...]";
iptables -A PREROUTING -t mangle -p tcp --sport http -j TOS --set-tos Maximize-throughput
iptables -A PREROUTING -t mangle -p tcp --sport 3129 -j TOS --set-tos Maximize-throughput

############################ Fonctionnalités serveurs #####################################

echo "[Etude des fonctionalités serveurs, visibles depuis internet]"

# A ce stade, tous vos clients du réseau local et de la passerelle ont accès à internet. Mieux,
# vos clients du réseau local, ont accès à vos serveurs apache, proftp ... localement. Mais personne
# depuis internet ne peux accéder à l'un des serveurs que vous hébergez.

# Il est bien-sûr possible de dévérrouiller pontuellement l'accès à un serveur depuis internet,
# en décommentant les 2 ou 3 lignes correspondantes.

#echo "[autorisation du serveur ssh(22) ...]"
#iptables -A INPUT -p tcp --dport ssh -j ACCEPT

#echo "[autorisation du serveur smtp(25) ...]"
#iptables -A INPUT -p tcp --dport smtp -j ACCEPT

#echo "[autorisation du serveur http(80) ...]"
#iptables -A INPUT -p tcp --dport www -j ACCEPT

#echo "[autorisation du serveur https(443) ...]"
#iptables -A INPUT -p tcp --dport 443 -j ACCEPT

#echo "[autorisation du serveur DNS(53) ...]"
#iptables -A INPUT -p udp --dport domain -j ACCEPT
#iptables -A INPUT -p tcp --dport domain -j ACCEPT

#echo "[autorisation du serveur irc(6667) ...]"
#iptables -A INPUT -p tcp --dport ircd -j ACCEPT

#echo "[autorisation du serveur cvs (2401) ...]"
#iptables -A INPUT -p tcp --dport cvspserver -j ACCEPT

#echo "[autorisation du serveur FTP(21 et 20) ...]"
#iptables -A INPUT -p tcp --dport ftp -j ACCEPT
#iptables -A INPUT -p tcp --dport ftp-data -j ACCEPT

# Ne pas décommenter les 3 lignes qui suivent.
# Plus généralement :
#echo "[autorisation du serveur Mon_truc(10584) ...]"
#iptables -A INPUT -p tcp --dport 10584 -j ACCEPT

#echo "[autorisation du serveur aMule (4662/tcp) ...]"
#iptables -A INPUT -p tcp --dport 4662 -j ACCEPT

#echo "[autorisation du serveur BitTorrent (6881-6889/tcp) ...]"
#iptables -A INPUT -p tcp --dport 6881:6889 -j ACCEPT

echo "[firewall activé !]"
}

firewall_stop() {


iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

echo " [firewall descativé!]"
}

firewall_restart() {
firewall_stop
sleep 2
firewall_start
}

case "$1" in
'start')
firewall_start
;;
'stop')
firewall_stop
;;
'restart')
firewall_restart
;;
'status')
iptables -L
iptables -t nat -L
iptables -t mangle -L
;;
*)
echo "Usage: firewall {start|stop|restart|status}"
esac

--=-xUtuxYO9fRf6hx0fRLRO--



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
fabrice régnier
> shorewall (pas mal de HOWTOs, même en fr sur le net)


pareil ici, shorewall m'évite de comprendre toutes les rêgles iptables
qui me dépassent un peu.
Avec shorewall, j'ai retrouvé la santé, je passe plus de temps avec mes
copines et mes cheveux sont plus brillants !

Ok, je monte dans ma chambre :)

f.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
mess-mate
Jean-Yves F. Barbier wrote:
| Le mercredi 28 février 2007 17:57, mess-mate a écrit :
| > Bonjour,
| > le firewall de mon routeur(debian) est le 'arno-iptables-firewall'
| > qui jusqu'à présent donnait pleine satisfaction.
| >
| > Ayant maintenant installé un dmz, celui-ci n'a pas l'air d'être à la
| > page ou c'est moi qui n'arrive pas à le configurer à ce niveau.
| >
| > Quoi qu'il en soit j'adopterais volontiers pour un autre firewall
| > pas trop compliqué (disons facile) car il faut qu'il marche au plus
| > vite afin de remettre mes pages sur le net.
| > De préférence un firewall en mode console.
| > Que me conseillez-vous ?
| > cordialement
| > mess-mate
|
| shorewall (pas mal de HOWTOs, même en fr sur le net)
|
|
Merci à tous.
J'ai temporairement adopté shorewall pour le routeur/firewall/proxy.
J'ai cependant des problèmes pour que l'on puisse accéder de
l'extérieur à mon serveur dans le dmz.
Quelqu'un pourrait me mettre sur la voie ?
cordialement
mess-mate
--

She is not refined. She is not unrefined. She keeps a parrot.
-- Mark Twain
Avatar
Laurent Vallar - aka Val
On Thu,Mar,01,2007, mess-mate wrote:
[...]
> shorewall (pas mal de HOWTOs, même en fr sur le net)
[...]
J'ai temporairement adopté shorewall pour le routeur/firewall/proxy.
J'ai cependant des problèmes pour que l'on puisse accéder de
l'extérieur à mon serveur dans le dmz.
Quelqu'un pourrait me mettre sur la voie ?




Cherche REDIRECT dans les commentaires du fichiers rules en exemple

dpkg -L shorewall |grep /rules$ | less
/REDIRECT

Cordialement,
Val.

--
.''`.
: :' : Laurent Vallar - aka Val - Network & System Staff Engineer
`. `' GPG Key: 1024D/C4F38417 - http://www.zbla.net
`-


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
mess-mate
Laurent Vallar - aka Val wrote:
| On Thu,Mar,01,2007, mess-mate wrote:
| > [...]
| > > shorewall (pas mal de HOWTOs, même en fr sur le net)
| > [...]
| > J'ai temporairement adopté shorewall pour le routeur/firewall/proxy .
| > J'ai cependant des problèmes pour que l'on puisse accéder de
| > l'extérieur à mon serveur dans le dmz.
| > Quelqu'un pourrait me mettre sur la voie ?
| >
|
| Cherche REDIRECT dans les commentaires du fichiers rules en exemple
|
| dpkg -L shorewall |grep /rules$ | less
| /REDIRECT
|
Voici :
REDIRECT loc 3128 tcp 80 # pour mon proxy
mais aussi:
DNAT net dmz:192.168.30.1 tcp 80 - $ETH0_IP
ajuoté selon la doc pour des IP dynamique.


mess-mate
--

Truth is the most valuable thing we have -- so let us economize it.
-- Mark Twain
Avatar
krusaf
mess-mate wrote:

Bonjour,
le firewall de mon routeur(debian) est le 'arno-iptables-firewall'
qui jusqu'à présent donnait pleine satisfaction.

Ayant maintenant installé un dmz, celui-ci n'a pas l'air d'être à la
page ou c'est moi qui n'arrive pas à le configurer à ce niveau.

Quoi qu'il en soit j'adopterais volontiers pour un autre firewall
pas trop compliqué (disons facile) car il faut qu'il marche au plus
vite afin de remettre mes pages sur le net.
De préférence un firewall en mode console.
Que me conseillez-vous ?
cordialement
mess-mate



Regarde si firestarter existe dans les packages. Je l'utilise ous ubuntu il
est très simplissime.

--
http://krusaf.org/blog/


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
Franck Joncourt
--Qxx1br4bt0+wmkIi
Content-Type: text/plain; charset=utf-8
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

On Fri, Mar 02, 2007 at 07:35:32PM +0100, krusaf wrote:
mess-mate wrote:

> Bonjour,
> le firewall de mon routeur(debian) est le 'arno-iptables-firewall'
> qui jusqu'à présent donnait pleine satisfaction.
>
> Ayant maintenant installé un dmz, celui-ci n'a pas l'air d'êt re à la
> page ou c'est moi qui n'arrive pas à le configurer à ce nivea u.
>
> Quoi qu'il en soit j'adopterais volontiers pour un autre firewall
> pas trop compliqué (disons facile) car il faut qu'il marche au plus
> vite afin de remettre mes pages sur le net.
> De préférence un firewall en mode console.
> Que me conseillez-vous ?
> cordialement
> mess-mate

Regarde si firestarter existe dans les packages. Je l'utilise ous ubuntu il
est très simplissime.



J'ai jamais essaye, mais jete aussi un coup d'oeil sur guarddog.

--
Franck Joncourt
http://www.debian.org
http://smhteam.info/wiki/
GPG server : pgpkeys.mit.edu
Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE

--Qxx1br4bt0+wmkIi
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: Digital signature
Content-Disposition: inline

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)

iD8DBQFF6H9fxJBTTnXAif4RAkKiAKC4ue4uuXzkd7rwQc24afE3r2d5nQCfY1R1
ZClIBpTNVgCDSZGWfF3juF4 =8NLK
-----END PGP SIGNATURE-----

--Qxx1br4bt0+wmkIi--


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
anto
mess-mate a écrit :
Bonjour,
le firewall de mon routeur(debian) est le 'arno-iptables-firewall'
qui jusqu'à présent donnait pleine satisfaction.

Ayant maintenant installé un dmz, celui-ci n'a pas l'air d'être à la
page ou c'est moi qui n'arrive pas à le configurer à ce niveau.

Quoi qu'il en soit j'adopterais volontiers pour un autre firewall
pas trop compliqué (disons facile) car il faut qu'il marche au plus
vite afin de remettre mes pages sur le net.
De préférence un firewall en mode console.
Que me conseillez-vous ?
cordialement
mess-mate



Euh, question stupide ... Pourquoi ne pas essayer une distro dédiée ?
Genre IpCop, Smoothwall et j'en passe ...
Le gros avantage de ces distros, c'est qu'elles te permettent une
administration assez simple.
Et surtout, elles ont été développées pour ça !!!
:)


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
1 2